|
Scheine mir ziemlich was eingefangen zu haben... Hallo zusammen! seit dem 29.12.05 ist mein Hauptrechner lahm gelegt und zeigt folgende Symptome:
Die Logfiles sehen auf den ersten Blick gar nicht gut aus, was sagt ihr? ------------------------------------------------------------------------ HJT (abgesicherter Modus): ------------------------------------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 13:29:18, on 30.12.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\Programme\Zubehoer\MouseWare\System\Em_exec.exe C:\WINNT\system32\NOTEPAD.EXE C:\WINNT\system32\NOTEPAD.EXE C:\WINNT\System32\NOTEPAD.EXE C:\Programme\Zubehoer\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = multiplicator R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: MyBHO Class - {46B9D770-1B7D-45D1-81B4-AC07B2F127EF} - C:\PROGRA~1\MULTIM~1\Grafik\FLASHS~1\FlashBHO.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\Internet\Reget Deluxe\ReGetDx\iebar.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\multimedia\video\quicktime 5\qttask.exe" -atboottime O4 - HKLM\..\Run: [StartupDelayer] "C:\Programme\Zubehoer\Startdelay\Startup Launcher.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKLM\..\Run: [WinExec] C:\Windows\WinExec.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] c:\PROGRA~1\treiber\scanner\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - Startup: Verknüpfung mit pccguide.exe.lnk = C:\Programme\Zubehoer\PC-cillin 9\pccguide.exe O4 - Startup: Verknüpfung mit Pop3trap.exe.lnk = C:\Programme\Zubehoer\PC-cillin 9\Pop3trap.exe O4 - Global Startup: Lan-Fs.lnk = C:\Programme\Zubehoer\LAN-FS\Lan-fs.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MULTIM~1\TEXTVE~1\OFFICE~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O12 - Plugin for .asx: C:\Programme\Internet\Netscape 4.73\Program\PLUGINS\npdsplay.dll O12 - Plugin for .wmv: C:\Programme\Internet\Netscape 4.73\Program\PLUGINS\npdsplay.dll O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM) O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://P:\data\A9.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123661170406 O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - h**p://w*w.180searchassistant.com/180saax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D748D16A-204A-484B-AE73-7195F8B5922F}: NameServer = 192.168.0.1 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINNT\system32\E_S00RP2.EXE O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\Zubehoer\AMD\GemServ.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\ahead\InCD\InCD\InCDsrv.exe O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINNT\system32\PackethSvc.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Zubehoer\PC-cillin 9\PCCPFW.exe O23 - Service: Remote Control Pro (RCPServer) - Alchemy Lab - C:\Programme\Zubehoer\Access Remote PC\RPC\rcpserver.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINNT\system32\SAgent4.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Zubehoer\PC-cillin 9\Tmntsrv.exe O23 - Service: TrayMan - Unknown owner - c:\PROGRA~1\zubehoer\tools\TRAYMA~1\ntstart.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Internet\DSL Speed Manager\tsmsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINNT\system32\WFXSVC.EXE O23 - Service: Microsoft Windows Update (Windows Update) - Unknown owner - C:\WINNT\winupdate32.exe ------------------------------------------------------------------------ escan - neueste Version (Normalmodus) ------------------------------------------------------------------------ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Dec 30 05:27:34 2005 => Datei C:\WINNT\nem220.dll infiziert von "Trojan-Downloader.Win32.Dyfuca.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 05:27:54 2005 => Datei C:\WINNT\winupdate32.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 05:33:57 2005 => Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Profiles\default\r0wrj0w8.slt\Mail\***.de\gelesen.sbd\Freunde.sbd\*** infiziert von "Trojan.JS.Relink.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 06:37:26 2005 => Datei C:\RECYCLER\S-1-5-21-1060284298-1770027372-725345543-1000\Dc1061.pif infiziert von "IM-Worm.Win32.Kelvir.bm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 06:42:40 2005 => Datei C:\sirh0t32.pif infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 06:42:40 2005 => Datei C:\sqste.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 06:55:28 2005 => Datei D:\CD-Zusammenstellung\Diverse Programme\Babylon 3.2\Babylon_pro_keygenerator_deutsch.exe infiziert von "Trojan-Dropper.Win32.ExeBundle.22" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 07:22:44 2005 => Datei J:\Recycled\Dj1.exe infiziert von "P2P-Worm.Win32.Delf.ak" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Fri Dec 30 07:31:44 2005 => Anzahl der desinfizierten Dateien: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\tsa !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\kazaa !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\powerscan !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\tsa !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\avenue media !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\gnu !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\kazaa !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\powerscan !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\microsoft\sidefind !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKLM\Software\policies\avenue media !!! Fri Dec 30 05:27:57 2005 => Offending Key found: HKCU\Software\policies\avenue media !!! Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\iun6002.exe Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\nem220.dll Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\DOWNLO~1\clientax.dll Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\acodec.dll Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\tsuninst.exe Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\uninstal.exe Fri Dec 30 05:27:58 2005 => Offending file found: C:\WINNT\system32\usbmonit.exe Fri Dec 30 05:27:59 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\stronghold 2 demo\config.dat Fri Dec 30 05:28:00 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\stronghold 2 demo\config.dat Fri Dec 30 05:28:00 2005 => Offending file found: C:\WINNT\iun6002.exe Fri Dec 30 05:28:00 2005 => Offending file found: C:\WINNT\system32\tsuninst.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Dec 30 05:27:15 2005 => Letztes Datum der MWAV Dateien: 26 Dec 2005 13:04:51. Fri Dec 30 07:31:44 2005 => Gescannte Dateien: 259735 Fri Dec 30 07:31:44 2005 => Anzahl der desinfizierten Dateien: 0 Fri Dec 30 07:31:44 2005 => Umbenannte Dateien: 0 Fri Dec 30 07:31:44 2005 => Anzahl der gelöschten Dateien: 0 Fri Dec 30 07:31:44 2005 => Gefundene Viren: 61 Fri Dec 30 07:31:44 2005 => Anzahl Fehler: 191 Fri Dec 30 07:31:44 2005 => Dauer des Scans bisher: 02:04:23 Fri Dec 30 07:31:44 2005 => Virus-Datenbank Datum: 12/26/2005 Fri Dec 30 12:22:13 2005 => Virus-Datenbank Datum: 12/26/2005 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ich hoffe, ihr könnt damit was anfangen. Lieben Dank für die Mühe. |
hallo, also nachdem ich mir deinen escan mal angesehen habe und aufgrund von diesem eintrag: Fri Dec 30 06:42:40 2005 => Datei C:\sqste.exe infiziert von "Backdoor.Win32.SdBot.aad" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. würde ich dir raten dein system nach anleitung in meiner signatur neu aufzusetzen. zumal dies ja nicht der einzige virus ist den du dir eingefangen hast. damit bist du auf jeden fall wieder sicher unterwegs wenn du alles genau so machst wie in der anleitung beschrieben. |
@hoerni26 Danke für Deine Anteilnahme :). Aber: Gibt es da wirklich keine schonendere Methode mehr? Ein neues System wäre in der Tat meine letzte Lösung. Ich werde mal warten, ob sich da noch eine optimistischere Variante anbietet... ;) |
naja das glaube ich ehrlich gesagt nicht das sich da noch eine andere lösung anbietet. geh mal auf den link in meiner signatur zum neuaufsetzen und lese dir bitte mal das ganze durch. dann sollten deine fragen beantwortet sein. denn du hast auch einen trojaner mit backdoor funktion auf deinem system. |
Hallo, nur falls du noch eine zweite Meinung haben willst, ich stimme mit hoerni26 vollkommen überein, bei Befall mit einem Backdoortrojaner ist ein Neuaufsetzen des Systems die einzig vernünftige Lösung. Lies mal in der Anleitung was Backdoors alles mit deinem System anstellen können und warum eine manuelle Entfernung nicht sinnvoll ist. Grüße Wildone |
@ diverslung: folge Hoernis Tipps und du bist gut bedient: Dein Backdoor macht folgendes: Ermöglicht Dritten den Zugriff auf den Computer Stiehlt Daten Reduziert die Systemsicherheit Installiert sich in der Registrierung Wird für DOS-Attacken verwendet Die übrige Verseuchung möchte ich auch nicht auf meinem Rechner haben; sie ist allerdings typisch für kazaa!-Nutzer.... Neuaufsetzen ist das einzig Richtige! cacatoa |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board